Nur Kartenaussteller/innen und Kartennetzwerke dürfen die Kartendaten einer in Indien ausgestellten Karte für Transaktionen speichern, die über von der Reserve Bank of India (RBI) lizenzierte Zahlungsdienstleister abgewickelt werden. Die RBI verlangt von Zahlungsaggregatoren (wie Stripe India), dass sie anstelle der tatsächlichen Kredit-/Debitkartennummer Netzwerk-Token für die Zahlungsabwicklung verwenden.

Von diesen Vorschriften sind hauptsächlich Unternehmen in Indien betroffen. Kartennetzwerke haben Card-on-File-Tokenisierungsdienste (CoF) eingeführt, um diese Anforderungen zu erfüllen, und Stripe hat Lösungen entwickelt, von denen unsere Kundinnen und Kunden profitieren können. Weitere Informationen zu den Vorschriften in Indien finden Sie in unserem Artikel Hintergrundinformationen zu den Bestimmungen der indischen Regierung, die sich auf Kartenzahlungen auswirken.

FAQ

Was genau besagen die Richtlinien der Reserve Bank of India über die Aufbewahrung von Kartenanmeldeinformationen?

Kein Unternehmen in der Kartentransaktionskette darf kartenbezogene Daten von Kundinnen und Kunden speichern (außer den Kartenausstellern und Kartennetzwerken) – diese Einschränkung gilt auch für Händler, Zahlungsaggregatoren (PAs), Zahlungs-Gateways (PGs) und Acquirer (Händlerbanken). Es wird auch bestätigt, dass die Netzwerk-Tokenisierung und Aussteller-Tokenisierung der einzig geeignete Weg für die Branche und die RBI sind.

Außerdem gibt es zusätzliche Anforderungen für die Implementierung der Tokenisierung, die eingehalten werden müssen:

• Ein Token muss auf einen Händler, eine Kundenkarte und einen Token-Requestor (z. B. Stripe India) beschränkt sein.
• Die explizite Zustimmung der Kundin/des Kunden und die zusätzliche Faktorauthentifizierung müssen erfolgen, bevor ein Token erzeugt wird.
• Ein Händler sollte der Kundin/dem Kunden die Möglichkeit geben, die tokenisierte Karte von der Händlerplattform zu löschen.
• Nur die letzten 4 Ziffern der Kundenkarte sowie der Name der Ausstellerbank und des Kartennetzwerks können einem Händler bei Transaktionen zur Verfügung gestellt werden (d. h. sie sind im Stripe-Dashboard für Zahlungen sichtbar).

Dies gilt nur für inländische Händler in Indien für inländische Transaktionen. Wenn Sie ein internationaler Händler auf Stripe sind und keinen Vertrag mit Stripe India haben, sollte diese Regelung nicht gelten und die Karten werden nicht tokenisiert.

Kann ich jetzt Token anstelle von Karten speichern?

Nein, wie bei der Speicherung von hinterlegten Karten (Card on File, CoF) können nur PCI DSS-konforme Händler Token selbst speichern. Die verbleibenden Händler, die derzeit einen Drittanbieter für die Speicherung ihrer Karten nutzen, müssen dieses Verfahren auch für ihre Token beibehalten.

Stripe ist ein zertifizierter Token-Requestor, der nicht nur Token speichern und Token-basierte Transaktionen ermöglichen kann, sondern auch die Generierung von Token über die Kartennetzwerke zulässt.

An Ihrer persönlichen Stripe-Integration wird sich nichts ändern. Stripe übernimmt nahtlos das Abrufen und die Verwendung von Netzwerk-Token im Auftrag Ihrer bestehenden Kundinnen und Kunden. Sie müssen diesen Vorgang nicht steuern.

Ist ein für eine Kundenkarte erstelltes Token für meine Kundinnen und Kunden und andere Händler gleich?

Ein Token ist immer eindeutig für einen Händler, eine Kunden-ID, einen Token-Requestor und ein Kartennetzwerk. Ein Token, das auf der Plattform eines Händlers generiert wurde, kann auf der Plattform eines anderen Händlers nicht verwendet werden.

Im Wesentlichen verfügt die Karte einer Karteninhaberin/eines Karteninhabers über mehrere Token, je nach der Anzahl der Händler-Kunden-ID-Kombinationen, über die sie/er verfügt.

Diese Zuordnung wird von dem Token-Requestor (Stripe) verwaltet. Wir können jedoch nicht garantieren, dass ein Händler, der in die Kartennetzwerke aufgenommen wird, dieselbe Händler-ID hat, die von einem anderen Token-Requestor angegeben wurde (d. h. es kann zu Duplikaten kommen). Daher können wir nicht garantieren, dass ein von Stripe bereitgestelltes Token für dieselbe Händler-Kunden-Kombination funktioniert, wenn es über andere Zahlungsaggregatoren/Zahlungsgateways verwendet wird.

Wie wirkt sich das auf das Bezahlvorgangserlebnis meiner Kundinnen und Kunden aus?

Für die Endkundin/den Endkunden werden die Auswirkungen der Tokenisierung minimal sein. Um ihre Karten in ein Token umzuwandeln, muss eine Kundin/ein Kunde Ihnen ihr/sein Einverständnis dazu geben, während sie/er eine laufende Transaktion bezahlt. Dies gilt sowohl für den neuen Kartenablauf als auch für den gespeicherten Kartenablauf.

Zur Vereinfachung Ihrer Arbeit führt Stripe die von Stripe verwaltete Zustimmung zur Tokenisierung (SMTC, Stripe Managed Tokenization Consent) ein, eine Formularansicht als Teil des Bezahlvorgangs, um die Zustimmung der Kundin/des Kunden in Ihrem Auftrag einzuholen, ohne dass Sie einen neuen Nutzeroberflächenablauf entwickeln oder Integrationsänderungen vornehmen müssen.

Sie haben die Möglichkeit, die von Stripe verwaltete Zustimmung zur Tokenisierung zu deaktivieren (siehe unten), wenn Sie Ihren eigenen nutzerdefinierten Zustimmungsablauf erstellen oder integrieren möchten, den Sie nahtlos in Ihren Bezahlvorgang integrieren möchten.

Für Nutzer/innen, die die Karten ihrer Kundinnen und Kunden bereits mit Token versehen haben, werden die gespeicherten Karten nun weiter maskiert, sodass nur noch die letzten 4 Ziffern für sie sichtbar sind.

Karteninhaber/innen, die sich gegen die Tokenisierung ihrer Karten entscheiden, müssen für alle Kartentransaktionen ihre 16-stellige Kartennummer, das Ablaufdatum und die Prüfziffer eingeben.

Wie kann ich die von Stripe verwaltete Zustimmung zur Tokenisierung ablehnen?

Wenn Sie die von Stripe verwaltete Zustimmung zur Tokenisierung ablehnen möchten, weil Sie Ihren eigenen nutzerdefinierten Zustimmungsablauf erstellen möchten, navigieren Sie bitte zum Abschnitt „Compliance“ auf der Einstellungsseite des Stripe-Dashboards und dann zu „Zustimmung zum Speichern von Karten“.

Aktivieren Sie unter „Zustimmung zum Speichern von Karten“ die Bestätigung der Einholung der Zustimmung.

Sobald Sie sich abgemeldet haben, sind Sie verpflichtet, die Zustimmung der Kundin/des Kunden einzuholen und die Kartendaten nur dann für die künftige Verwendung im Stripe-Kundenobjekt zu speichern, wenn der/die Karteninhaber/in in Ihrem Checkout-Zustimmungsablauf seine/ihre Zustimmung gegeben hat.

Welche Abläufe können bei mir möglicherweise unterbrochen werden?

Für Nutzer/innen, die Stripe Billing, Stripe Checkout oder Stripe Elements nicht verwenden, sind alle Abläufe, die auf die Kartennummer Ihrer Kundin/Ihres Kunden angewiesen sind, davon betroffen. Sie müssen sich über den Dashboard-Mechanismus abmelden und die Zustimmung Ihrer Kundinnen und Kunden einholen, damit wir die Daten in Token umwandeln und in den Systemen von Stripe speichern können.